“Ce règlement s’applique à toute entité physique ou morale entrant en contact avec Endorah.”
RGPD adopté par le Bureau Associatif d’Endorah le 29/09/2024 par la décision D24-018.
Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, reprend les grands principes déjà présents depuis 1978 dans la loi Informatique et Libertés.
Les organismes doivent s’assurer que leurs fichiers et services numériques sont, en permanence, conformes au RGPD.
Cela nécessite de tenir à jour une documentation des actions menées afin de pouvoir démontrer le respect des règles et notamment :
- Recenser les fichiers (traitements) et tenir à jour le registre les détaillant ;
- Garantir la sécurité des données ;
- Organiser la réponse aux demandes d’exercice des droits venant des personnes dont les données personnelles sont traitées ;
- Informer la CNIL, voire les personnes concernées, des violations éventuelles de sécurité de données personnelles (par exemple la perte de document ou les failles de sécurité).
Les données personnelles comprennent toutes informations se rapportant à une personne physique identifiée ou identifiable.
La collecte et le traitement de données personnelles poursuit toujours un objectif précis, sa « finalité », qui doit être déterminée, explicite et légitime avant toute collecte ou utilisation des données. Autrement dit, la collecte de données ne peut être effectuée sans savoir à l’avance quel usage en sera fait.
En conformité avec la réglementation en vigueur, Endorah s’engage à ne jamais collecter de données personnelles à l’insu des personnes concernées, et ce, de manière toujours transparente avec le consentement préalable des individus lorsque cela est requis.
Le traitement des données personnelles inclut toute manipulation ou utilisation de ces données. Toute action, y compris une simple consultation, est ainsi considérée comme un « traitement de données personnelles ».
Tout document comportant des données personnelles est classé au niveau 3 (voir article 7).
Les finalités de collecte et de traitement des données personnelles chez Endorah incluent, mais ne sont pas limités à :
Recrutement de candidats bénévoles : Lors du processus de recrutement, Endorah collecte les informations personnelles des candidats afin d’évaluer leur adéquation au poste et de gérer les candidatures.
Gestion des clients : Endorah peut collecter des informations sur ses clients afin d’assurer la gestion des commandes, des prestations ou des services proposés.
Demandes de contact : Lorsque des utilisateurs prennent contact via notre site internet ou tout autre moyen de communication, les données fournies sont utilisées uniquement pour répondre à leur demande et établir une relation professionnelle si nécessaire.
Commentaires sur le site internet : Les commentaires laissés par les utilisateurs sur le site internet peuvent impliquer la collecte de données personnelles dans le cadre des interactions publiques ou privées.
Gestion des bénévoles : L’association peut collecter et utiliser des données personnelles pour gérer ses membres, notamment en enregistrant les informations d’identification de chaque adhérent, comme leur nom, leur adresse, leur adresse e-mail, leur numéro de téléphone, etc afin de remplir les documents type adhésions ou/et accord de confidentialité.
Relation avec les sous-traitants : Dans le cadre de la collaboration avec des sous-traitants, les informations personnelles nécessaires sont collectées pour la gestion contractuelle et administrative des relations professionnelles.
Communication : Les données personnelles peuvent être utilisées pour communiquer avec les membres de l’association, par exemple pour envoyer des newsletters, des invitations à des événements, des rappels de réunions, etc.
Inscription aux événements : L’association peut collecter des données personnelles lors de l’inscription à des événements, tels que des conférences, des ateliers ou des sorties, afin de gérer les participations, d’envoyer des confirmations, des informations pratiques ou des mises à jour relatives à l’événement.
Gestion des dons : l’association peut collecter des données personnelles, telles que les coordonnées bancaires, pour faciliter la collecte de fonds et émettre des reçus fiscaux en cas de dons.
Analyse et statistiques : Les données personnelles peuvent être utilisées de manière agrégée et anonymisée pour effectuer des analyses et des statistiques internes, afin de mieux comprendre les préférences des membres, d’identifier des tendances ou d’évaluer l’efficacité des actions de l’association.
Notes de frais : Les informations pour la réalisation des notes de frais (numéro de permis, rib, carte grise…) des bénévoles peuvent être nécessaires à une création conforme à ces dernières.
Respect des obligations légales : L’association peut être tenue de collecter et de traiter certaines données personnelles pour se conformer à des obligations légales ou réglementaires, telles que la tenue de registres, etc.
Les données collectées par Endorah sont uniquement destinées à l’usage de l’association et à son évolution, ces données ne sont ni destinées à la vente ni à des fins commerciales.
Dans le cadre de nos activités, peuvent être collectés plusieurs types de données personnelles en fonction des finalités parmi celles ci sont inclus mais ne sont pas limités :
|
DONNÉES COLLECTÉ |
QUI PEUT CONSULTER ? |
QUI PEUT CRÉER ET MODIFIER ? |
|
|
Recrutement : |
Nom Prénom Civilité Date de Naissance / Âge Pseudonyme |
– Membres de la Direction – Membres de la Gestion Administrative – Membres du Bureau |
– Membres de la Direction – Membres de la Gestion Administrative – Membres du Bureau |
|
Adhésion à l’association : |
Adresse Code postal Ville Pays N° Portable |
– Membres de la Gestion Administrative – Membres du Bureau |
– Membres du Bureau |
|
Personnes à contacter en cas d’urgence : |
Nom N° Portable Nature de la relation |
– Membres de la Gestion Administrative – Membres du Bureau |
– Membres de la Gestion Administrative – Membres du Bureau |
|
Si vous êtes mineur, nous demanderons les informations ci-contre de l’un de vos responsables légal |
Civilité Nom Prénom Adresse postale N° Portable |
– Membres de la Gestion Administrative – Membres du Bureau |
– Membres de la Gestion Administrative – Membres du Bureau |
|
Si vous êtes mineur de moins de 16 ans, nous vous demanderons les informations ci-contre de votre second responsable légal. |
Civilité Nom Prénom Adresse postale N° Portable |
– Membres de la Gestion Administrative – Membres du Bureau |
– Membres de la Gestion Administrative – Membres du bureau |
|
Gestion des goodies et dotations : |
Civilité Nom Prénom Adresse postale N° Portable Mensuration |
– Membres de la Gestion Administrative – Membres du bureau |
– Membres de la Gestion Administrative – Membres du Bureau |
|
Note de frais : |
Copie de permis de conduire Carte grise RIB |
– Membres du Bureau – Membres de la Gestion Administrative |
– Membres du Bureau – Membres de la Gestion Administrative |
|
Donation : |
RIB |
– Membres du Bureau |
– Membres du Bureau |
|
Demande de contact : |
Nom Prénom N° Portable Pseudonyme Nature de l’organisation demandeuse Objet de la demande |
– Membres des pôles Direction – Membres de la Gestion Administrative – Membres du Bureau |
– Membres des pôles direction – Membres de la Gestion Administrative – Membres du Bureau |
La durée de conservation des données personnelles par Endorah est variable et déterminée en fonction de la finalité poursuivie par le traitement et la collecte des données. On distingue alors deux phases :
- Les données sont nécessaires pour la gestion courante de l’association.
- Les données ne sont plus nécessaires quotidiennement mais présentent encore un intérêt administratif ou statistique (par exemple, la gestion d’un éventuel contentieux, évolution moyenne d’âge…) ou doivent être conservées pour répondre à une obligation légale.
Les informations personnelles sont conservées au minimum cinq ans après le départ d’un membre.
Une fois ce délai écoulé, les données seront supprimées si la personne concernée en fait la demande dans le cas contraire, elles sont anonymisées afin de ne plus permettre l’identification directe ou indirecte.
L’accès aux données doit être limité afin qu’elles puissent uniquement être consultées par des personnes dont les missions le justifient (ex. : Bureau, Direction ou membres de la Gestion Administrative).
Lors de la deuxième phase, l’accès aux données est davantage limité afin qu’elles puissent uniquement être consultées de manière ponctuelle et par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, les membres du Bureau ou ayant reçu une autorisation préalable ou une autorité compétente).
Chez Endorah, il existe différents niveaux de confidentialité allant de 1 à 5 permettant de réguler les accès et de catégoriser les informations selon leurs degré d’importance :
|
Description |
Qui peut consulter ? |
Qui peut les créer ? |
Qui peut les modifier ? |
|
Confidentialité : Niveau 1 : Public |
|||
|
Documents pouvant être portés à la connaissance et à la lecture du grand public. Ils ne doivent comporter aucune information de niveau 2 ou plus. |
Les personnes extérieures d’Endorah. |
N’importe quel membre de l’association. Avant toute publication en dehors de l’équipe, ces documents doivent être approuvés par le Président. |
N’importe quel membre de l’équipe ou de l’association. |
|
Les accords de confidentialité s’appliquent sur les niveaux de confidentialité ci-dessous. |
|||
|
Confidentialité : Niveau 2 : Interne |
|||
|
Documents servant à l’organisation de l’équipe, toutes les personnes de l’équipe peuvent les consulter et œuvrer avec. |
Les personnes d’Endorah (association, intégration, équipe). |
N’importe quel membre de l’équipe ou de l’association. |
N’importe quel membre de l’équipe ou de l’association. |
|
Confidentialité : Niveau 3 : Donnée personnelle |
|||
|
Documents contenant des données personnelles (nom, prénom, adresse etc). |
Seule la personne concernée par les données présentes dans le document, la Direction, la Gestion Administrative, les membres du Bureau peuvent le consulter (hors registre). |
Les membres de la Direction, du Bureau et de la Gestion Administrative. |
Les membres de la Direction, du Bureau et de la Gestion Administrative. |
|
Confidentialité : Niveau 4 : Confidentiel |
|||
|
Documents relevant de la confidentialité, organisation, projets. |
Les personnes autorisées. |
Les membres de la Direction, du Bureau et de la Gestion Administrative. |
Les membres de la Direction, du Bureau et de la Gestion Administrative. |
|
Confidentialité : Niveau 5 : Secret d’association |
|||
|
Documents relevant de l’organisation et de la stratégie de l’association. |
Seules les personnes désignées par le Président peuvent consulter ces documents. Leurs noms sont mentionnés sur le document en question. |
Les membres du Bureau. |
Les membres du Bureau. |
Nous mettons en œuvre des mesures administratives et logistiques pour protéger la sécurité de vos données personnelles contre le vol, l’accès, l’utilisation et la modification non autorisé:
- La suite Workspace et Google Drive permettent de sécuriser ces informations et de séparer les accès aux documents entre les membres.
- Les accords de confidentialité sont mis en place pour protéger l’association de la divulgation de certaines infos mais aussi pour protéger les membres et empêcher les personnes ayant accès à des informations personnelles de les divulguer. Toute divulgation d’informations relatives aux membres pourra faire l’objet de poursuites judiciaires.
Le responsable de traitement assure la conformité et la protection des données au sein de l’association. Pour pouvoir s’assurer de la conformité, il réalise plusieurs missions :
- Mettre en place des procédures et des politiques de sécurité pour assurer la conformité;
- En cas de vols de données, il doit en informer les autorités compétences et trouver des solutions pour prévenir des potentiels piratages;
- Réaliser des évaluations d’impact;
- Tenir des registres des activités de traitement qui contient;
- Répondre aux demandes des usagers sur les informations, la rectification ou la suppression des données.
Le responsable actuel est M.DRONNEAU Rémy
mail : remy.dronneau@endorah.net
En cas de perte de données, l’incident est déclaré à l’autorité compétente, la CNIL.
Si un piratage ou un quelconque vol a lieu, les membres du bureau ou le responsable de traitement ont pour devoir d’en informer le ou les membres concernés de la fuite de leurs données.